DebianHans
Anmeldungsdatum: 18. August 2016
Beiträge: Zähle...
|
Hallo, ich habe beim Installieren die Festplatte verschlüsselt. Nun hab ich das Problem, dass bei der Eingabe offenbar ein amerikanisches Layout vorgegeben ist. Deutsch wäre mir lieber und praktischer. Wie kann ich das ändern? Nach dem Strat ist es eine deutsches Layout.
Viele Grüße
Hans Moderiert von sebix: Dieses Thema ist verschoben worden. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“)!
|
lionlizard
Anmeldungsdatum: 20. September 2012
Beiträge: 6244
Wohnort: Berlin
|
Ich würde das ganze anders herum aufziehen: Ändere das Passwort so, dass es mit englischem bzw. amerikanischem Tastaturlayout eingegeben werden kann. Dann kannst Du die Platte auch jederzeit entschlüsseln, wenn Du ein Livesystem startest oder aus anderen Gründen kein deutsche Layout zur Verfügung steht. Ist die Platte mit LUKS verschlüsselt? Dort kannst Du bis zu 8 verschiedene Schlüssel festlegen, dann könntest Du beispielsweise im Terminal mit setxkbmap gb ein englisches Layout einstellen, ein Passwort hinzufügen (das bisherige mit deutschen Layout eingegebene Passwort kann auch in die Zwischenablage kopiert und mit
Strg +
⇧ +
V oder Klick der mittleren Maustaste eingefügt werden). Wenn man dazu die gleichen Tasten benutzt, die man im deutschen Layout eintippt, so macht man sich vom eingestellten Layout sogar unabhängig, weil dann beide Passwörter funktionieren, egal ob englisches oder deutsches Layout. So würde beispielsweise das deutsche Passwort "platzö" mit englischen Layout eingegeben "platy;" lauten.
|
XM-Franz
Supporter
Anmeldungsdatum: 15. Juni 2010
Beiträge: 3439
Wohnort: Moers
|
Willkommen. Wähle zukünftig ein Passwort, welches für de_DE und en_US mit identischen Tasten funktioniert. ▶ http://www.kachold.de/tastbel.html ◀ Gruß -Franz-
|
DebianHans
(Themenstarter)
Anmeldungsdatum: 18. August 2016
Beiträge: 3
|
Danke für eure raschen Antworten. Ich will ein sehr sicheres Passwort haben, d.h. mindestens 20 Zeichen, Groß- und Kleinbuchstaben und einige Sonderzeichen. Dann wirds echt schwierig was zu finden, was bei beiden Layouts identisch ist. ☹ Die Platte ist mit LUKS verschlüsselt. Wenn ich das richtig verstehe, hätte dann, bei mehreren Schlüsseln, ein potentieller "Feind" eine 8-fach höhere Chance die Platte zu entschlüsseln, oder? Ich will nicht klugscheessen, aber bei Debian gabs da keine Probs 🙄 Vielen Dank
Schöne Grüße
Hans
|
lionlizard
Anmeldungsdatum: 20. September 2012
Beiträge: 6244
Wohnort: Berlin
|
DebianHans schrieb: Danke für eure raschen Antworten. Ich will ein sehr sicheres Passwort haben, d.h. mindestens 20 Zeichen, Groß- und Kleinbuchstaben und einige Sonderzeichen. Dann wirds echt schwierig was zu finden, was bei beiden Layouts identisch ist. ☹
Wenn Du alle Sonderzeichen im Passwort weglässt und stattdessen die Länge um eine Stelle erhöhst, wird das Passwort sicherer. Da gibt es Berechnungen dazu, die hier im Forum auch schon mehrfach verlinkt wurden, habe ich jetzt aber nicht parat. Vereibfacht geht es darum: Bei zehn Ziffern (0-9) kan man mit 2 Stellen 100 Möglichkieten darstellen: 10²=100
Wenn man Hex-Ziffern benutzt (0-F) kann man mit 2 Stellen 256 Möglichkieten darstellen: 16²=256
Wenn man die Passwortlänge bei 10 Ziffern um eine Stelle erhöht, erhält man 1000 Möglichkeiten: 10³=1000 Wenn man Buchstaben und Sonderzeichen benutzt, erhöht sich nur die Basis, das Prinzip bleibt aber das gleiche. Die Platte ist mit LUKS verschlüsselt. Wenn ich das richtig verstehe, hätte dann, bei mehreren Schlüsseln, ein potentieller "Feind" eine 8-fach höhere Chance die Platte zu entschlüsseln, oder?
Ich bin kein Statistiker, aber ich glaube, das kann man so nicht rechnen. Davon abgesehen: Nimm einfach eine weitere Stelle dazu, dann ist das x-Mal wieder ausgeglichen (siehe oben).
Ich will nicht klugscheessen, aber bei Debian gabs da keine Probs 🙄
Mir ist die Problematik seit 1989 vertraut, und es gab bisher kein System bei dem es nicht mehr oder weniger Probleme wegen einer falschen Zeichencodierung gab. Wenn das unter Debian kein Problem war, ist vielleicht Debian für Dich besser geeignet.
|
mrkramps
Anmeldungsdatum: 10. Oktober 2006
Beiträge: 5523
Wohnort: south central EL
|
Zum Thema Passwortsicherheit siehe auch xkcd: Password Strength 🇬🇧. Um böse Überraschungen bei Passwörtern zu vermeiden, verwende dafür nur Zeichen aus dem ASCII-Zeichensatz. Gibt genügend Geräte/System/Treiber, die bei der Authentifizierungsmethode mit Sonderzeichen in Passwörtern nicht zurecht kommen.
|
DebianHans
(Themenstarter)
Anmeldungsdatum: 18. August 2016
Beiträge: 3
|
@lionlizard: Nicht sauer sein, nutze Linux seit fast 13 Jahren, liebe die Philosophie dahinter. "Kleinkriege" interessieren mich nicht und halte mich daraus. Bin nur verwundert, dass es da klappt und hier nicht. Nix für ungut 👍
Ich werds mit der Methode, nen längeres PW mit mehr Buchstaben und Zahlen versuchen.
Danke für eure konstruktive Hilfe.
Mit Linux-Grüßen aus dem Süden
Hans
|
Letalis_Sonus
Anmeldungsdatum: 13. April 2008
Beiträge: 12990
Wohnort: Oldenburg/Erlangen
|
lionlizard schrieb: Wenn Du alle Sonderzeichen im Passwort weglässt und stattdessen die Länge um eine Stelle erhöhst, wird das Passwort sicherer. Da gibt es Berechnungen dazu, die hier im Forum auch schon mehrfach verlinkt wurden, habe ich jetzt aber nicht parat. Vereibfacht geht es darum: Bei zehn Ziffern (0-9) kan man mit 2 Stellen 100 Möglichkieten darstellen: 10²=100
Wenn man Hex-Ziffern benutzt (0-F) kann man mit 2 Stellen 256 Möglichkieten darstellen: 16²=256
Wenn man die Passwortlänge bei 10 Ziffern um eine Stelle erhöht, erhält man 1000 Möglichkeiten: 10³=1000 Wenn man Buchstaben und Sonderzeichen benutzt, erhöht sich nur die Basis, das Prinzip bleibt aber das gleiche.
Die Sicherheit gegenüber einem Brute Force Angriff hängt vor allem vom Angriffsvektor ab, niemand geht hier Byte-weise vor, es findet immer zuerst eine logisch eingegrenzte Auswahl statt. Allein hierdurch kann ein Sonderzeichen bereits erheblich mehr Sicherheit bringen, es befindet sich in einem erheblich größeren Vektor, der nicht die erste Wahl bei einem solchen Angriff sein wird, wenn nicht gerade der eigene Wohnort bekannt ist und in solch einer Einschätzung eine Rolle spielt. Die Argumentation mit der Anzahl von Zeichen ist gerade unter Linux ziemlich daneben, ö, ä und ü sind bereits jeweils 2 Zeichen. Im Gegensatz zu so manchem anderen System nutzt der Pinguin schon lange UTF (hier: UTF-8) anstelle von Codepages, das macht mit dieser Logik ein Sonderzeichen um so sicherer um so ungewöhnlicher es ist, da es aus bis zu 4 Bytes bestehen kann, die allesamt nicht Bestandteil von ASCII sind. Ändert aber natürlich nichts daran, dass man bei fremden Systeme in Probleme mit der Kodierung rennen kann. Ein längeres Passwort ist auch nicht automatisch sicherer, ab einer gewissen Länge ist es effizienter einfach den Hash zu raten - darauf läuft die Auswertung eines Passworts so gut wie immer hinaus.
|
lionlizard
Anmeldungsdatum: 20. September 2012
Beiträge: 6244
Wohnort: Berlin
|
Letalis_Sonus schrieb: lionlizard schrieb: Vereibfacht geht es darum: Bei zehn Ziffern (0-9) kan man mit 2 Stellen 100 Möglichkieten darstellen: 10²=100…
Die Argumentation mit der Anzahl von Zeichen ist gerade unter Linux ziemlich daneben,
Ich bin kein Mathematiker und wollte nur das Prinzip erläutern, warum es sinnvoller ist , ein längeres Passwort zu benutzen
ö, ä und ü sind bereits jeweils 2 Zeichen… Ändert aber natürlich nichts daran, dass man bei fremden Systeme in Probleme mit der Kodierung rennen kann.
Ja, ganau darum geht es, dass man sich mit den Sonderzeichen nicht selbst aussperrt, auch wenn - wie beim TE - das Linux beim Anmelden eine andere Kodierung benutzt, als bei der Erstellung. Ein längeres Passwort ist auch nicht automatisch sicherer, ab einer gewissen Länge ist es effizienter einfach den Hash zu raten
So ausgedrückt, halte ich das für eine gefährliche Halbwahrheit. Denn mit der zunehemenden Länge wird nicht das Passwort schwächer, wie Du andeutest. Es ist lediglich so, dass man bei wirklich starken Passworten an anderer Stelle ansetzt, nämlich der Implementierung des Passwortmechanismus. Hier muss dann der Hash ordentlich gepfeffert und gesalzen werden und allerlei Schnickschnack (ich kenn da mich nicht wirklich aus 😉 ), damit dann die Absicherung genauso gut ist, wie das Passwort. Deiner Logik folgend sollte man sich ja bemühen, das Passwort nicht zu lang zu machen (wobei die Frage dann wäre wie lang das ist). Soll man das übrigens so verstehen, dass es schwieriger ist, den Hash eines Passwortes mit Sonderzeichen zuerraten, als den eines sehr langen Passwortes? Oder warum wirfst Du dieses Argument jetzt in die Diskussion Sonderzeichen vs. Länge?
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7658
|
LUKS kann bis zu 8 Passwörter haben, du kannst also dein Passwort (beliebige Sonderzeichen) zweimal hinzufügen so daß es sowohl mit US als auch mit DE Layout akzeptiert wird. Habe ich auch mal hier beschrieben: http://unix.stackexchange.com/a/174657/30851 Das ist natürlich keine Lösung für das eigentliche Problem daß das Initramfs natürlich das deutsche Layout laden sollte. Wenn das bei Ubuntu nicht mehr automatisch passiert ist das letztlich irgendwo ein Bug. Konkrete Lösung dazu habe ich gerade nicht parat aber das doppelte Passwort ist auch so sehr praktisch, man bootet ja auch mal ein Rettungssystem oder eine Live CD wo nicht automatisch gleich das deutsche Layout eingestellt ist. Zur Passwortlänge: Ab einer gewissen Passwortlänge [glaube ich verschieden je nach Hash] wird auch der [kürzere, dafür zufällige/binäre] Hash als Passwort akzeptiert. Ist eine "Schwäche" des Algorithmus, da gabs auch einen tollen Link dazu den ich gerade nicht wiederfinde. Leicht zu raten ist das deswegen trotzdem nicht, man muss ja trotzdem für jeden Versuch die ganzen Iterationen durchlaufen, da kann man auch gleich den Masterkey raten. 😉 # truncate -s 8M foobar.img
# echo -n $(pwgen 2048 1) > passwort.txt
# ls -l passwort.txt
-rw-r--r-- 1 root root 2048 Aug 20 12:16 passwort.txt
# cryptsetup -v luksFormat foobar.img < passwort.txt
Command successful.
# cryptsetup luksDump foobar.img
Hash spec: sha256
# set -- $(sha256sum passwort.txt)
# echo $1
e2d4d3ad0bdee7a8f897fd94d2a7639b4e47266463b530c7d290dd8b72bde4e5
# echo $1 | xxd -r -p > hash.txt
# hexdump -C hash.txt
00000000 e2 d4 d3 ad 0b de e7 a8 f8 97 fd 94 d2 a7 63 9b |..............c.|
00000010 4e 47 26 64 63 b5 30 c7 d2 90 dd 8b 72 bd e4 e5 |NG&dc.0.....r...|
00000020
# cryptsetup -v --test-passphrase luksOpen foobar.img foobar < passwort.txt
Key slot 0 unlocked.
Command successful.
# cryptsetup -v --test-passphrase luksOpen foobar.img foobar < hash.txt
Key slot 0 unlocked.
Command successful. In dem Beispiel: Das Passwort hat eigentlich 2048 Zeichen aber akzeptiert wird auch dessen Hash mit 32 Bytes. Aber wer 32 Zufallsbytes erraten kann, der sollte Lotto spielen gehen. Die Gefahr ist da eher daß man diesen Hash irgendwo rumliegen läßt und nicht mehr sicher gelöscht bekommt. LUKS bläst seine Keydaten ja auf über hundert Kilobyte auch deswegen auf damit ein einzelner reallokierter Sektor o.ä. nutzlos ist.
|
lionlizard
Anmeldungsdatum: 20. September 2012
Beiträge: 6244
Wohnort: Berlin
|
@frostschutz Danke für die Fakten zur Passwortlänge. Das Passwort in beiden Layouts einzugeben, hatte ich ja auch vorgeschlagen.
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7658
|
lionlizard schrieb: Das Passwort in beiden Layouts einzugeben, hatte ich ja auch vorgeschlagen.
Jupp, und den Vorschlag möchte ich sozusagen bestätigen. 😉 Unsicher wirds davon nicht, ist ja zweimal das gleiche Passwort, wer das eine kennt der kennt auch das andere. Man muss nur dran denken, daß das Passwort zweimal vorhanden ist, wenn man es denn mal ändern möchte. Wenn man das Passwort auf einen Zettel geschrieben hat, den Zettel verliert und dann nur eins von beiden ändert ... das ist der Risikofaktor Mensch. Und Layout sollte dann schon us sein, nicht gb. Naja, unterscheidet sich nur im Detail, aber us ist nun mal das Standardlayout bis man ein anderes geladen hat. Und man sollte bei ASCII bleiben also kein äöü߀°§ sonst hat man neben dem Tastaturlayout auch noch Probleme mit dem Zeichensatz.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5348
|
frostschutz schrieb: Unsicher wirds davon nicht, ist ja zweimal das gleiche Passwort, wer das eine kennt der kennt auch das andere.
Also theoretisch schon, denn immerhin gibt es zwei Keys mit dem "gleichen" Passwort. Aber die Relevanz ist nicht hoch, erst wenn man Snowden heisst. Die Fehlerquelle Mensch ist hierbei viel wichtiger zu bewerten. Und Layout sollte dann schon us sein, nicht gb. Naja, unterscheidet sich nur im Detail, aber us ist nun mal das Standardlayout bis man ein anderes geladen hat.
Die Unterschiede sind zwar klein, aber bei einem Passwort, das ein #, |, \, ~, ¬ ', ", oder @ drinnen hat, doch signifikant. (Liste nicht vollstaendig.)
|